Come faccio a sincronizzare l'ora tra le istanze aggiunte al dominio Windows e AWS Managed Microsoft AD?

5 minuti di lettura

Desidero utilizzare le policy di gruppo per configurare la sincronizzazione dell'ora per le macchine Microsoft Windows in Servizio di directory AWS per Microsoft Active Directory.

Breve descrizione

Le macchine Windows potrebbero avere almeno un server NTP (Network Time Protocol) preimpostato nel registro prima di entrare a far parte del dominio AWS Managed Microsoft AD. Quando si accede al dominio, le macchine Windows sincronizzano automaticamente l'ora con tutti i meccanismi disponibili nel dominio. Se i server NTP di origine hanno orari diversi, questa configurazione può causare problemi legati alla distorsione temporale.

Nell'esempio seguente, il parametro NtpServer è precompilato con 169.254.169.123,0x9 prima dell'unione dell'istanza al dominio AWS Managed Microsoft AD. Tuttavia, il parametro Type diventa AllSync dopo l'accesso al dominio. Questa modifica durante la configurazione può causare una distorsione temporale.

Prima di entrare a far parte del dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Dopo essere entrati a far parte del dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Risoluzione

Come best practice, utilizza i controller di dominio per assicurarti che le macchine aggiunte al dominio Windows sincronizzino l'ora attraverso la gerarchia di domini AWS Managed Microsoft AD. Per ulteriori informazioni, consulta Come funziona il servizio Windows Time e gli strumenti e le impostazioni del servizio Windows Time sul sito Web Microsoft.

Prerequisiti

Assicurati di soddisfare i seguenti prerequisiti:

Installa gli strumenti di amministrazione di Active Directory su un'istanza Amazon Elastic Compute Cloud (Amazon EC2) aggiunta al dominio.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools,…}

Verifica che l'istanza EC2 sia aggiunta al dominio AWS Managed Microsoft AD per cui desideri configurare una gerarchia di domini di sincronizzazione temporale. Per ulteriori informazioni, consulta Partecipa manualmente a un'istanza Windows.

Configurazione della gerarchia temporale del dominio AWS Managed AD

Segui questi passaggi per sincronizzare l'ora nella gerarchia dei domini AWS Managed AD utilizzando le impostazioni delle policy di gruppo:

1. Accedi all'istanza EC2 utilizzando Remote Desktop Protocol (RDP) e imposta l'utente del dominio come amministratore. Per ulteriori informazioni, consulta Connessione all'istanza Windows tramite RDP.

2. Esegui GPMC.msc per aprire la console di gestione delle policy di gruppo.

3. Scegli Domains (Domini), quindi scegli [Domain Name], [Directory NetBIOS name] ( [Nome dominio], [Nome directory NetBIOS]), Computer.

4. Scegli Computer, quindi scegli Create a GPO in this domain and Link it here… (Crea un GPO in questo dominio e collegalo qui).

Nota: gli oggetti del computer devono trovarsi nell'unità organizzativa (UO) o in altre unità organizzative all'interno della stessa gerarchia.

5. Assegna un nome al GPO, ad esempio Domhier Time Sync, quindi scegli OK.

6. Scegli il GPO appena creato, quindi seleziona Edit (Modifica).

7. Scegli Computer Configuration (Configurazione computer), quindi scegli Administrative Templates (Modelli amministrativi), System (Sistema), WindowsTime Service (Servizio Windows Time), Time Provider (Provider orario).

8. Scegli Enable Windows NTP Client (Abilita client NTP Windows), quindi seleziona Enabled (Abilitato).

9. Scegli OK.

10. Scegli Configure NTP Client (Configura client NTP).

11. Seleziona Enabled (Abilitato) e modifica i seguenti parametri:

In Type (Tipo), inserisci NT5DS.

Per SpecialPoolInterval, immetti 900.

12. Scegli OK.

Verifica se l'istanza EC2 utilizza la gerarchia di sincronizzazione temporale

Completa i seguenti passaggi per confermare che il controller di dominio stia sincronizzando l'ora attraverso la gerarchia di domini AWS Managed Microsoft AD. Per ulteriori informazioni, consulta Policy di gruppo: procedure di base per la risoluzione dei problemi per principianti sul sito Web Microsoft.

1. Utilizza l'istanza della sezione precedente per forzare un aggiornamento delle policy del dominio. Apri un prompt di PowerShell come prompt con privilegi elevati o come amministratore ed emetti il seguente comando:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

2. Verifica che NT5DS sia installato.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

3. Scopri l'origine oraria:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

4. Identifica il server di sincronizzazione per l'istanza. Nell'esempio seguente, WIN-A2P2S44M219 è l'origine oraria.

PS C:\> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0329001s
Root Dispersion: 0.0868277s
ReferenceId: 0xAC1F0599 (source IP:  172.31.5.153)
Last Successful Sync Time: 9/28/2022 10:41:34 AM
Source: WIN-A2P2S44M219.example.com
Poll Interval: 7 (128s)

5. Verifica che il server sia un controller di dominio:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
WIN-A2P2S44M219
WIN-E4VM0DELNQ1

Nota: il controller di dominio che sincronizza l'ora potrebbe cambiare durante la configurazione. La modifica non causa problemi con la sincronizzazione dell'ora.

5. Controlla la sincronizzazione dell'ora tra l'istanza e il controller di dominio. In teoria, la differenza di orario è il più vicina possibile allo zero. Per ulteriori informazioni, consulta W32tm sul sito Web Microsoft.

PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3
Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123].
Collecting 3 samples.
The current time is 9/28/2022 10:42:26 AM.
10:42:26, d:+00.0006938s o:-00.0041540s  [                           *                           ]
10:42:28, d:+00.0006471s o:-00.0041757s  [                           *                           ]
10:42:30, d:+00.0006398s o:-00.0041987s  [                           *                           ]

Argomenti

Sicurezza, identità e conformità

Tag

AWS Directory Service

Lingua

Italiano

AWS UFFICIALEAggiornata 3 mesi fa

Contenuto pertinente

Come faccio ad abbonarmi alla licenza Microsoft Office con Amazon WorkSpaces BYOL?
AWS UFFICIALEAggiornata 7 mesi fa
Come posso configurare SVM con Microsoft AD gestito da AWS per le operazioni CIFS su FSx per ONTAP?
AWS UFFICIALEAggiornata un mese fa
Come faccio a reindirizzare un dominio verso un altro in Route 53?
AWS UFFICIALEAggiornata 9 mesi fa
Come posso creare e sincronizzare gli accessi SQL e Windows sulla replica in lettura di Amazon RDS per SQL Server?
AWS UFFICIALEAggiornata 6 mesi fa